Thread Info
  • State Suggested Answer
  • Locked Locked
  • Replies 8 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 18086 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wie setzt man richtig die Webserver Protection auf ?

WolfgangS

Morgen zusammen,

ich versuche das mal so verständlich -wie für mich möglich- zu erklären.  Solltet Ihr denken Hä ? Was will der?  Fragt bitte nach. Danke !

(da wir auch schon 2:00 Uhr Morgens haben und ich schon ein paar Stunden gelesen und porbiert habe, bitte ich nochmals um Nachsicht !)

Also .....

Ich habe eine UTM 9 Homelizenz. Hinter der UTM Hoste ich für uns (meine Familie allein 6 Leute + Freunde) einige Sachen wie z.B. unsere eigene Fam. Homepage,

Modellbau Homepage, Mailserver, unserer Fam. Groupware Server usw.

Ich habe eine feste IP Adresse und nochmal ein kleines festes IP Netz /28 auf dem SSL usw. läuft.

Interfaces

eth0 -> internes netz 192.168.0.0 /24

eth1 -> dmz 192.168.100.0 /24

 eth2 DSL WAN ext.  Interface -> 

mit fester Adresse 8x.x.x.x/32 und zusätzlich darauf gebunden das 21x.x.x.x /28, ebenfalls feste IP's

Für alle ethX ist jeweils eine phy. Netzwerkkarte vorhanden und entsprechend an diese gebunden.

Masquerading Rules

Internes  netz ->  DSL WAN ext.

dmz -> DSL WAN ext.

Der Interne Webserver hat die IP 192.168.100.150 und ist mit dieser und seinem Hostnamen als Realer Webserver in der Web Application Firewall unter Real Webservers eingetragen.

Die feste externe IP für unsere Homepage ist die 21x.x.x.11x /28

Was muss ich dann in INterfaces beim Virtuellem Webserver stehen ?

Wie müsste das DNAT oder NAT überhaupt aussehen ? Da ich im Moment ohne DNAT keine Verbindung zu meinem Webserver bekomme wenn ich die DNAT Rule rausnehme.

DNAT (für Webserver)

For traffic from: any

Using service: any

Going to: DSL WAN ext.

Change the destination to: 192.168.100.150

Irgendwie sagt mir mein Gefühl das ich da einiges verwurstet hab, was so nicht zusammengehört.

Ich wäre um jeden Lichtblick im Tunnel dankbar.



This thread was automatically locked due to age.
Parents
  • 0

    Da Du die WAF (WebApplicationFirewall) nutzen möchtest, benötigst Du kein DNAT. Die IP-Adressen aus 21x.x.x.11x /28 als "zusätzliche IP-Adressen" unter Schnittstellen anlegen, um sie nutzen zu können.

    In der WAF dann einen neuen virtuellen Webserver erstellen, der eine der oben genannten IP-Adressen erhält und dann auf den realen Webserver verweisen (sollte zur Auswahl stehen). Die Optionen solltest Du zu Anfang weglassen, um sicherzustellen, dass die Funktion gegeben ist.

    Eventuell greifende DNAT- und Firewallregel deaktivieren oder löschen. Vielleicht noch für den (realen) Webserver das MASQ / SNAT auf die gleiche IP-Adresse wie den virtuellen Webserver legen. 

  • 0 in reply to K.N.

    Danke für deine Antwort. Genau so läuft es. Ich hab zwar hier und da noch mit meinen Fehl Configs zu kämpfen, aber ich denke das wird langsam.

    Wenn nix mehr geht meld ich mich nochmal [:)]

    Also nochmal Danke.

  • 0 in reply to WolfgangS

    Da ergibt sich doch dann noch eine Frage:

    Kann ich Einfluss auf die Modsecurity Regeln des Proxys nehmen ? Denn der is ziemlich streng, so das z.b. bei Egroupware nicht alle Farben angezeigt werden oder die Ajax Scripte verworfen werden.

    Bei einer anderen Domain werden nicht alle Images angezeigt, was natürlich bei dem einfach DNAT vorher funktioniert hat.

    Danke.

    Edit: Kann ich die Modesecurity unter:

    Intrusion Prevention -> Manual Rule Modification

    beeinflussen ?

    Sprich: Wenn ich dort eine Regel reinstelle nimmt er sie bei der Webprotection auch raus ?

  • 0 in reply to WolfgangS

    Hi,

    Intrusion Prevention hat nichts mit der WAF zu tun.

    ModSecurity lässt sich an zwei Stellen feintunen:

    • Firewall Profile: hier kannst du einzelne Kategorien auswählen oder einzelne Regeln skippen. Wie letzteres funktioniert, kannst du in folgendem Knowledge Base Artikel nachlesen: How to bypass individual WAF rules
    •  Exception: wenn es bspw. einen Pfad gibt, auf dem eine Kategorie (fast) komplett anschlägt, dann kannst du hierfür eine exception anlegen

    Gruß

     Sabine

  • 0 in reply to Evianne

    OK Danke.

    Nun habe ich festgestellt das nachdem ich wie o.g. konfiguriert habe,  ich keinen Zugriff von extern mehr auf meine Seiten habe.

    Aus dem internen Netz kein Problem. Nachdem ich versucht habe via Handy zuzugreifen : www.meindomain.de versucht er 192.168.100.x vom Handy aus zu erreichen, was er natürlich nicht kann.

    Was ist da falsch ?

    Danke !

  • 0 in reply to WolfgangS

    Kann es sein, das es daran gelegen hat, dass ich vergessen habe pass host header anzuklicken ?

Reply Children
  • 0 in reply to WolfgangS

    Das kann man so pauschal nicht sagen.
    Es kommt drauf an, was dein Handy losschickt, was die WAF zum Real Webserver schickt, der Inhalt der Seite auf dem Real Webserver, was der Real Webserver zurückschickt und was dann die WAF draus macht. An jedem Punkt kann hier was schiefgehen.

    Als erstes würde ich im reverseproxy.log nachschauen und dann eventuell ein Netzwerkmitschnitt machen.

  • 0 in reply to Evianne

    Hmm OK, da werd ich dann nochmal schauen.

    Eine Option Zugriffe nach einer bestimmten Anzahl zu blocken gibt  es leider nict wie ich gesehen habe. Sowas wie fail2ban wäre da noch passend.

Cookie Information Banner